Почему squid не блокирует адрес?

Рамиль Рамиль

Нужно заблокировать vkontakte.ru (а что же ещё:)

Вот параметры из конфига:

# собственно запрещающие правила, однако ни тот, ни другой вариант доступ не блокирует
acl vk dstdomain vkontakte.ru
acl vkon url_regex -i.+vkontakte\.ru

http_access allow vip-mac
http_access deny vkon
http_access deny vk
http_access deny all

Что можно с этим сделать?

squid 2.6.18-1ubuntu3
Дополнено (1). acl all src 192.168.0.0/24
acl vip-mac arp "/smb1/vip-mac.txt"
acl safe_ports myport 80
acl vip-ip src 10.224.213.79 192.168.0.221 192.168.2.101 192.168.2.1
acl Hafta_ici time MTWHF 8:00-22:00
acl vk dstdomain vkontakte.ru
acl vkon url_regex -i.+vkontakte\.ru

http_port 3128
http_access allow vip-mac

visible_hostname server.ttl79.local

http_access allow vip-ip
http_access allow all safe_ports
http_access deny vkon
http_access deny all
Дополнено (2). не работает, даже вот в такой конфигурации

acl all src 192.168.0.0/24
acl vip-mac arp "/smb1/vip-mac.txt"
acl safe_ports myport 80
acl vip-ip src 10.224.213.79 192.168.0.221 192.168.2.101 192.168.2.1
acl Hafta_ici time MTWHF 8:00-22:00
acl vk dstdomain vkontakte.ru
acl vkon url_regex -i.+vkontakte\.ru

http_port 3128
http_access allow vip-mac

visible_hostname server.ttl79.local

# *** #

coredump_dir /var/spool/squid
cache_effective_user main
cache_effective_group main

http_access allow vip-ip
http_access deny vk
http_access deny vkon
http_access allow all safe_ports
http_access deny all

#never_direct allow vip-mac
#never_direct allow all

#cache_peer 192.168.0.1 parent 8080 0 proxy-only default

Гость Гость

Напишите ВСЕ директивы http_access. Вышеприведенный фрагмент разрешает всё, включая вконтакте, vip-mac-ам, а всем остальным запрещает всё.

acl написаны вроде верно, а вот http_access должны быть типа

http_access allow all vip-mac
http_access deny vkon
http_access deny vk
http_access allow all localnet
http_access deny all

Как-то так. Порядок директив важен!

Гость Гость

Поменяйте местами http_access allow all safe_ports и http_access deny vkon. Как я писал ранее, порядок директив важен: в Вашем случае сквид сперва разрешает все соединения по безопасным портам, и до следующей строки дело не доходит.

Гость Гость

А если убрать http_access allow all safe_ports? По идее должно резко перестать пускать всех, кроме vip-ip.

Добавить комментарий | Похожие обсуждения

Вопросы и ответы по Вконтакте
Вопросы и ответы

Популярные вопросы и ответы о социальной сети www.vkontakte.ru (vk.com)